Onderzoekers hebben details onthuld van kritieke beveiligingsproblemen in TerraMaster Network-Attached Storage (TNAS)-apparaten die kunnen worden geketend om niet-geverifieerde externe code-uitvoering met de hoogste privileges te bereiken.
De problemen bevinden zich in TOS, een afkorting voor TerraMaster Operating System, en “kan niet-geverifieerde aanvallers toegang geven tot de box van het slachtoffer door simpelweg het IP-adres te kennen, Ethiopische cyberbeveiligingsonderzoeksbureau Octagon Networks‘ zei Paulos Yibelo in een verklaring gedeeld met The Hacker News.
TOS is de besturingssysteem ontworpen voor TNAS-appliances, waardoor gebruikers opslag kunnen beheren, applicaties kunnen installeren en back-upgegevens kunnen maken. Na verantwoorde onthulling werden de gebreken verholpen TOS-versie 4.2.30 uitgebracht vorige week op 1 maart 2022.
Een van de problemen, bijgehouden als CVE-2022-24990, betreft een geval van informatielek in een component genaamd “webNasIPS”, resulterend in de onthulling van de TOS-firmwareversie, het IP- en MAC-adres van de standaard gateway-interface en een hash van de administrator wachtwoord.
De tweede tekortkoming heeft daarentegen betrekking op een fout in een opdrachtinjectie in een PHP-module genaamd “createRaid” (CVE-2022-24989), wat resulteert in een scenario waarin de twee problemen aan elkaar kunnen worden gekoppeld om een speciaal ontworpen opdracht in te dienen om uitvoering van externe code te bereiken.
“Al met al was dit een zeer interessant project,” zei Yibelo. “We hebben meerdere componenten van een informatielek gebruikt, samen met een ander informatielek van de tijd van de machine, en het gekoppeld aan een geverifieerde OS-opdrachtinjectie om niet-geverifieerde externe code-uitvoering als root te bereiken.
De onthulling komt binnen omdat TerraMaster NAS-apparaten ook zijn onderworpen aan: Deadbolt ransomware-aanvallenvoegde zich bij bedrijven als QNAP en ASUSTOR, waarbij het bedrijf opmerkte dat het de kwetsbaarheden aanpakte die waarschijnlijk door de bedreigingsactoren werden uitgebuit om de ransomware in TOS-versie 4.2.30 te implementeren.
Het is niet meteen duidelijk of dezelfde reeks kwetsbaarheden die door Octagon Networks werden ontdekt, werden bewapend voor Deadbolt-infecties. We hebben contact opgenomen met TerraMaster voor verder commentaar en we zullen het verhaal bijwerken als we iets horen.
“Een beveiligingsprobleem opgelost met betrekking tot de Deadbolt ransomware-aanval”, zegt het bedrijf dat is genoteerdwaarbij gebruikers worden aanbevolen om “de nieuwste versie van het TOS-systeem (4.2.30 of hoger) opnieuw te installeren om te voorkomen dat niet-versleutelde bestanden verder worden versleuteld.
